María Soledad Gastañeta, Asociada Senior de Derecho Administrativo GSA
El lunes 22 de mayo de 2023, Meta, la empresa de la cual Mark Zuckerberg es el CEO, propietaria de las plataformas Facebook, WhatsApp e Instagram, recibió una multa de 1,200 millones de Euros por parte de la Comisión Irlandesa de Protección de Datos, donde se encuentra ubicada su sede en Europa, por transferir los datos personales de los usuarios de Facebook de la Unión Europea a servidores en Estados Unidos violando el Reglamento General de Protección de Datos. “La decisión del regulador de datos irlandés se convierte en la mayor sanción europea por infracción de privacidad y casi duplica a los 746 millones con los que fue sancionada Amazon en el año 2021 por las autoridades de Luxemburgo por motivos similares.”
Las autoridades irlandesas sustentan su decisión en que Meta no protegió la información personal de los usuarios de Facebook de los servicios de seguridad estadounidenses. La infracción es muy grave, ya que se trata de transferencias que son sistemáticas, repetitivas y continuas, y de millones de datos. Meta alega que existe un conflicto fundamental entre las normas de Estados Unidos sobre el acceso a datos y los derechos de privacidad europeos.
Esta situación se da en un contexto político, en el que la Unión Europea busca renegociar con Estados Unidos un acuerdo marco sobre la transferencia de datos trasatlántica, ya que el 2020 el Tribunal de Justicia de la Unión Europea invalidó el pacto anterior por temor a injerencias en los derechos fundamentales de las personas.
Lo anterior demuestra la importancia que está teniendo a nivel mundial la protección de los datos personales, lo que también se está dando en el Perú. Entre el 2015 y el 2019 la Autoridad Nacional de Protección de Datos (ANPDP) impuso multas que superaban los S/ 5 millones; mientras que solo en el año 2022, se impusieron multas por más de S/ 8 millones. Esto demuestra que las fiscalizaciones y los procesos administrativos sancionadores van en aumento.
Por otro lado, nos preguntamos ¿Facebook debe cumplir las leyes peruanas de protección de datos personas? ¿si es así, las estará cumpliendo?
El artículo 5° del Reglamento de la Ley de Protección de Datos Personales, Ley No. 29733, establece que las disposiciones de la ley son de aplicación al tratamiento de datos personales cuando “El titular del banco de datos personales o quien resulte responsable no esté establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento”.
En tal sentido, Facebook debe cumplir la regulación de protección de datos personales peruana, aunque sea una empresa extranjera no domiciliada en el Perú, si utiliza medios situados en el territorio peruano para fines distintos al tránsito de los datos que no implican tratamiento. Será la ANPDP quien deberá determinar si Facebook utiliza medios peruanos para el tratamiento.
Al respecto, y como guía debemos considerar que la ANPDP en la Opinión Consultiva No. 56-2020-JUS/DGTAIPD del 18 de diciembre de 2020, ha señalado que para poder identificar si una página web utiliza medios peruanos es verificar si el contenido está dirigido a personas ubicadas en Perú.
En caso se determine que Facebook no utiliza medios localizados en el Perú para el tratamiento de los datos personales de sus usuarios peruanos, las normas peruanas no serían aplicables, y deberán cumplir las normas a las que se encuentran sujetos según su lugar de domicilio.
Por el contrario, si se estableciera que sí utiliza medios localizados en territorio peruano para el tratamiento de los datos personales, sí tendrían que cumplir con lo establecido por la Ley.
En este último caso, Facebook se encontraría incumpliendo las mencionadas normas y cometiendo varias infracciones que deberían ser sancionadas por la ANPDP. Somos conscientes que sancionar a una empresa no domiciliada en el Perú acarrea una serie de dificultades que hacen que sea muy difícil hacer efectiva una sanción.
Algunos ejemplos de incumplimientos de la Ley son: (i) no tener registrado el banco datos ante la ANPDP; (ii) no cumplir con solicitar el consentimiento informado de los usuarios antes de recopilar sus datos, si bien piden un consentimiento, este no cumple con informar a los usuarios toda la información requerida por la Ley; (iii) no distinguir los fines obligatorios para el uso de los datos personales de los fines opcionales; y (iv) no comunicar el flujo transfronterizo de los datos personales.